一個與北韓有關聯的威脅行為者正在利用精心設計的新型惡意軟體針對加密貨幣產業求職者,目的是竊取加密貨幣錢包和密碼管理器的存取憑證。
Cisco Talos於6月18日(週三)發布報告指出,他們發現了一種名為"PylangGhost"的基於Python的遠端存取木馬(RAT),該惡意軟體與北韓駭客組織"Famous Chollima"(又稱"Wagemole")有關。
該駭客組織主要透過社交工程手法實施假冒工作面試活動,針對印度地區擁有加密貨幣和區塊鏈經驗的求職者和從業人員。"從廣告宣傳的職位來看,很明顯Famous Chollima廣泛瞄準了那些具備加密貨幣和區塊鏈技術經驗的個人。"
假冒招募網站和測試成為惡意軟體掩護
攻擊者精心打造冒充Coinbase、Robinhood和Uniswap等合法公司的假冒招募網站,並引導受害者完成多個精心設計的步驟。
這一過程始於假冒招募人員的初步聯繫,他們會向目標發送技能測試網站的邀請,藉此蒐集資訊。
隨後,受害者被誘導在所謂的"面試"過程中啟用視訊和攝影機存取權限,在此期間他們被欺騙複製並執行惡意指令,理由是需要安裝更新的視訊驅動程式,最終導致裝置被完全控制。
惡意負載專門針對加密貨幣錢包
思科塔洛斯表示,PylangGhost是此前記錄的GolangGhost RAT的變種,兩者功能高度相似。
專家分析指出,執行後,這些指令能夠實現對被感染系統的遠端控制,並竊取超過80個瀏覽器擴充程式的cookie和憑證。
這些目標擴充程式包括各類密碼管理器和加密貨幣錢包,如MetaMask、1Password、NordPass、Phantom、Bitski、Initia、TronLink和MultiverseX等。
多功能威脅惡意軟體
該惡意軟體功能強大,能夠執行多種任務和眾多指令,包括螢幕截圖、檔案管理、瀏覽器資料竊取、系統資訊蒐集以及維持對受感染系統的持續遠端存取。
研究人員還發現,根據程式碼內部的註解特徵分析,威脅行為者不太可能使用人工智慧大語言模型來輔助編寫這些程式碼。
假冒招募誘餌屢見不鮮
這並非北韓相關駭客首次利用假冒工作機會和面試來誘騙受害者。
今年4月,與價值14億美元Bybit駭客事件有關的攻擊者曾利用植入惡意軟體的假冒招募測試專門針對加密貨幣開發人員。